Suposições
- Estamos compilando
pam_tacplus.so
da v1.3.7 da biblioteca pam_tacplus - O servidor Cisco ACS é 192.0.2.27 e a chave secreta tacacs + é
d0nttr3@d0nm3
Instruções de instalação
- Adicione o nome do host / endereço IP do servidor linux no Cisco ACS e reinicie o serviço Cisco ACS
- Faça o download do tacacs + módulo PAM do SourceForge.
- Instale o pacote de desenvolvimento
pam
para sua distro linux. RHEL / CentOS chamam depam-devel
; Debian / Ubuntu chamam delibpam-dev
(um nome de pacote virtual paralibpam0g-dev
). - Descompacte o módulo tacacs +
pam
em um diretório de trabalho temporário (tar xvfz pam_tacplus-1.3.7.tar.gz
) -
cd
na nova pasta criada portar
. - Como root:
./configure; make; make install
-
Como root, edite
/etc/pam.d/sshd
e adicione essa linha como a primeira entrada no arquivo:auth include tacacs
-
Como root, crie um novo arquivo chamado
/etc/pam.d/tacacs
:
#%PAM-1.0 auth sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 account sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh session sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh
Instruções por servidor / por usuário
Como root em cada servidor, crie uma conta de usuário linux local que corresponda aos tacacs + username para todos os usuários requeridos. Os usuários podem, opcionalmente, usar passwd
para definir sua senha local para o que quiserem como último recurso; no entanto, se eles definirem uma senha local, eles poderão fazer login localmente a qualquer momento sem tacacs+
, mesmo que o serviço esteja disponível.
pam_tacplus Informação do serviço
Os detalhes de como o módulo pam_tacplus.so
funciona estão neste pam-list
arquivado email